Configurando DNS dividido e dinâmico no Cisco VPN 3000 Concentrator

Opções de download

  • PDF     (136.9 KB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (238.8 KB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (259.2 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:14 de janeiro de 2008
ID do documento:26405

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

Introduction

O Sistema de nomes de domínio (DNS) dividido permite que consultas de DNS de certos nomes de domínio sejam resolvidas para servidores DNS internos pelo túnel VPN, enquanto que todas as outras consultas de DNS são resolvidas para os servidores DNS do Provedor de serviços de Internet (ISP). Uma lista de nomes de domínio é “extraída” ao VPN Client durante a negociação de túnel inicial. O Cliente de VPN determina se as consultas DNS devem ser enviadas pelo túnel criptografado ou se devem ser enviadas não criptografadas para o ISP. A divisão do DNS é usada apenas em ambientes de túneis divididos, pois o tráfego é enviado para a Internet tanto pelo túnel criptografado como pelo túnel não criptografado.

O DDNS (DNS Dinâmico) permite o registro automático dos nomes de host do Cliente VPN em um servidor DNS após a negociação bem sucedida da conexão VPN. Quando um VPN Client inicia uma conexão, o nome do host local é enviado ao concentrador, que, por sua vez, encaminha-o ao concentrador Dynamic Host Configuration Protocol (DHCP) centralmente localizado para alocação de endereços. Se o servidor DHCP suportar DDNS, o endereço alocado e o nome do host serão inseridos automaticamente. A alocação de endereço DHCP é um requisito para que o DDNS funcione, mas não funcione com conjuntos de endereço local.

Prerequisites

Requirements

Não existem requisitos específicos para este documento.

Componentes Utilizados

Ambas as divisões DNS e DDNS foram introduzidas na versão 3.6 do Concentrator e do código de cliente. No mínimo, você deve executar essas versões para ativar e configurar este recurso. Todas as configurações neste documento foram desenvolvidas e testadas usando essas versões de software e hardware.

  • Concentrador Cisco VPN 3000, Versão 3.6.7.A

  • Cisco VPN Client Versão 3.6.1

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Diagrama de Rede

Este documento utiliza a seguinte configuração de rede:

dns_split_dynam1.gif

Conventions

For more information on document conventions, refer to the Cisco Technical Tips Conventions.

Configurando DNS e DDNS divididos

DNS dividido

Nesta seção, você encontrará informações para configurar os recursos descritos neste documento. Os parâmetros DNS divididos são configurados nos parâmetros de grupo do Cisco VPN 3000 Concentrator. Portanto, não é necessária qualquer configuração no cliente.

  1. Na seção User Management > Groups (Gerenciamento de usuários > Grupos) do GUI, selecione o grupo adequado e selecione Modify Group (Modificar Grupo).

  2. Na guia Geral, insira até dois servidores de DNS internos a serem passados para o cliente.

    dns_split_dynam2.gif

  3. Na guia Client Config, configure o tunelamento por divisão, o nome de domínio padrão e a lista de domínios DNS divididos.

    dns_split_dynam3.gif

    Após a negociação bem sucedida do túnel usando os parâmetros acima, qualquer referência aos hosts com nomes de domínio totalmente qualificados nos domínios Cisco.com ou Test.com resultarão no envio de uma consulta de DNS do túnel para 192.168.1.1. As consultas de DNS para hosts em qualquer outro domínio são enviadas sem criptografia para os servidores DNS fornecidos pelo DHCP no tempo inicial de inicialização do PC.

    Observação: a lista de túneis divididos chamada "Rede 192.168" contém a rede 192.168.0.0/16. Isso é necessário para que as solicitações DNS para o servidor DNS interno do 192.168.1.1 sejam criptografadas.

DDNS

O DDNS requer que a atribuição de endereço de DHCP seja configurada no VPN Concentrator. Portanto, não é necessária qualquer configuração no cliente. Durante a negociação de túnel inicial, o cliente envia seu nome de host ao concentrador e o concentrador usa esse nome no pacote de requisições DHCP ao solicitar um endereço ao cliente. Cabe ao servidor de DHCP adicionar dinamicamente esse nome de host ao servidor de DDNS. Os servidores de DHCP do Windows 2000 suportam essa funcionalidade.

  1. Para configurar a alocação de endereço de DHCP para Clientes VPN no VPN Concentrator, em Configuration > System > Servers > DHCP, adicione o endereço IP dos servidores de DHCP. Verifique se o DHCP está habilitado globalmente no concentrador em Configuration (Configuração) > System (Sistema) > IP Routing (Roteamento de IP) > DHCP Parameters (Parâmetros DHCP).

    Observação: está ativado por padrão.

  2. Em Configuração > Sistema > Gerenciamento de endereço > Atribuição, verifique a opção para alocar os endereços de um servidor de DHCP.

    dns_split_dynam4.gif

Verificar

O Log Viewer incluído no VPN Client pode ser usado para garantir que os parâmetros corretos estejam sendo enviados do VPN Concentrator. Em Options (Opções) > Filters (Filtros), defina a classe de registro Internet Key Exchange (IKE) como High (Alta). Depois que o túnel for negociado com êxito, as seguintes mensagens (ou seu equivalente específico de rede) devem estar presentes no log. 

34     11:43:38.069  03/07/03  Sev=Info/5 IKE/0x63000010 
MODE_CFG_REPLY: Attribute = INTERNAL_IPV4_ADDRESS: , value = 192.168.1.50 

35     11:43:38.069  03/07/03  Sev=Info/5 IKE/0x63000010 
MODE_CFG_REPLY: Attribute = INTERNAL_IPV4_DNS(1): , value = 192.168.1.1 

38     11:43:38.069  03/07/03  Sev=Info/5 IKE/0x6300000D 
MODE_CFG_REPLY: Attribute = MODECFG_UNITY_SPLIT_INCLUDE (# of split_nets), value = 0x00000001 

39     11:43:38.069  03/07/03  Sev=Info/5 IKE/0x6300000F 
SPLIT_NET #1 
 subnet = 192.168.0.0 
 mask = 255.255.0.0 
 protocol = 0 
 src port = 0 
 dest port=0 

40     11:43:38.069  03/07/03  Sev=Info/5 IKE/0x6300000E 
MODE_CFG_REPLY: Attribute = MODECFG_UNITY_DEFDOMAIN: , value = cisco.com 

41     11:43:38.069  03/07/03  Sev=Info/5 IKE/0x6300000E 
MODE_CFG_REPLY: Attribute = MODECFG_UNITY_SPLITDNS_NAME: , value = cisco.com,test.com

Os parâmetros acima são definidos da seguinte forma:

  • INTERNAL_IPV4_ADDRESS - endereço IP alocado para a conexão do VPN Client

  • INTERNAL_IPV4_DNS(1) - Servidor DNS interno

  • MODECFG_UNITY_SPLIT_INCLUDE - Número de redes na lista de túneis divididos

  • SPLIT_NET #n - Detalhes de cada rede de túnel dividido transmitidos ao cliente

  • MODECFG_UNITY_DEFDOMAIN - Nome de domínio padrão

  • MODECFG_UNITY_SPLITDNS_NAME - Lista de domínios internos a serem enviados para INTERNAL_IPV4_DNS

Troubleshoot

Atualmente, não existem informações disponíveis específicas sobre Troubleshooting para esta configuração. Para obter mais informações sobre Troubleshooting, consulte Troubleshooting de Problemas de Conexão no VPN 3000 Concentrator.

Informações Relacionadas

Histórico de revisões

Revisão Data de publicação Comentários
1.0
14-Jan-2008
Versão inicial

Este documento lhe foi útil?

FeedbackFeedback

Contate a Cisco

Este documento se refere a estes produtos